Security-Enhanced-Linux modulo di sicurezza del kernel Linux | Linuxiano.it
Privacy Policy

Security-Enhanced-Linux modulo di sicurezza del kernel Linux

Security-Enhanced-Linux

In informatica il Security-Enhanced-inux (SELinux) è un modulo di sicurezza del kernel Linux che fornisce un insieme di strumenti per utilizzare e monitorare il controllo degli accessi incluso il Mandatory Access Control (MAC), tutto questo utilizzando i framework Linux Security Modules (LSM)

SELinux è un set di modifiche che possono essere applicate a sistemi operativi di tipo Unix come Linux e BSD. La sua architettura cerca di separare l’uso delle regole di sicurezza dalla definizione delle regole stesse, riducendo il numero di software incaricati a verificare che queste vengano rispettate. I concetti base di SELinux possono essere ricondotti ad alcuni progetti della National Security Agency (NSA) statunitense.

Soggetto: processi o utenti

Oggetto: file o filesystem

Type Enforcement: su SELinux tutti i soggetti e gli oggetti hanno un identificatore di tipo che termina con _t. “L’ applicazione del tipo è l’idea che, in un sistema obbligatorio di controllo degli accessi, l’accesso è regolato attraverso l’autorizzazione basata su un insieme di regole soggetto-accesso-oggetto.

In SELinux, l’applicazione del tipo è implementata in base alle etichette dei soggetti e degli oggetti. SELinux da solo non ha regole che dicono / bin / bash può eseguire / bin / ls. Al contrario, ha regole simili a “I processi con l’etichetta user_t possono eseguire file regolari etichettati bin_t. “(Fonte https://wiki.gentoo.org/wiki/SELinux/Type_enforcement)

Discretionary Access Control (DAC): DAC è il sistema di proprietà e autorizzazione che utilizziamo in Linux per gestire l’accesso ad oggetti come file o directory. Il Discretionary Access Control non ha nulla a che fare con SELinux ed è un diverso livello di sicurezza. Per ulteriori informazioni sul DAC, consultare le autorizzazioni Linux spiegate.

Mandatory Access Control (MAC): è un tipo di controllo di accesso che limita l’interazione dell’accesso dei soggetti con gli oggetti. Contrariamente a DAC con gli utenti MAC non è possibile modificare le politiche.
I soggetti e gli oggetti hanno un contesto di sicurezza (attributi di sicurezza) monitorati da SELinux e amministrati secondo le politiche di sicurezza stabilite dalle regole da applicare.

Controllo di accesso basato sui ruoli (RBAC): è un tipo di controllo di accesso basato sui ruoli, può essere combinato con MAC e DAC. Le politiche RBAC semplificano la gestione di molti utenti all’interno di un’organizzazione in contrasto con il DAC che può derivare nelle assegnazioni di autorizzazioni individuali, facilitando il controllo, la configurazione e gli aggiornamenti delle politiche.

Modalità di applicazione: SELinux limita l’accesso dei soggetti agli oggetti in base alle politiche.

Modalità permissiva: SELinux registra solo attività illegittime.

Le funzionalità di Security-Enhanced-Linux includono (elenco Wikipedia):

  • Pulire la separazione della politica dall’applicazione
  • Interfacce politiche ben definite
  • Supporto per le applicazioni che interrogano la politica e impongono il controllo dell’accesso (ad esempio, eseguendo i lavori in esecuzione nel contesto corretto)
  • Indipendenza di politiche e linguaggi politici specifici
  • Indipendenza di specifici formati e contenuti delle etichette di sicurezza
  • Etichette e controlli individuali per oggetti e servizi del kernel
  • Supporto per modifiche alle politiche
  • Misure separate per proteggere l’integrità del sistema (tipo di dominio) e la riservatezza dei dati ( sicurezza multilivello )
  • Politica flessibile
  • Controlla l’inizializzazione e l’ereditarietà del processo e l’esecuzione del programma, i file system, le directory, i file e i descrittori di file aperti, over socket, messaggi e interfacce di rete
  • Controlli sull’uso di “capacità”
  • Informazioni memorizzate nella cache sulle decisioni di accesso tramite Access Vector Cache (AVC)
  • Politica di rifiuto predefinito (tutto ciò che non è esplicitamente specificato nella politica è vietato) .

Configurare Security-Enhanced-Linux su Debian 10 Buster

Nel mio caso SELinux è stato disabilitato su Debian 10 Buster. Mantenere SELinux abilitato è uno dei passaggi di base per proteggere un dispositivo Linux. Per conoscere lo stato di SELinux sul tuo dispositivo esegui il comando:

Terminale
  • sudo  -s
  • sestatus

security-enhanced-linux

Ho scoperto che SELinux era disabilitato, per abilitarlo è necessario installare alcuni pacchetti prima, dopo un aggiornamento apt , eseguire il comando:

Terminale
  • apt install selinux-basics selinux-policy-default

security-enhanced-linux

Se  richiesto, premete S per continuare il processo d ‘installazione. Eseguite apt update dopo aver terminato l’installazione.

Per abilitare SELinux, eseguire il comando seguente:

Terminale
  • selinux-activate

security-enhanced-linux

Come puoi vedere SELinux è stato correttamente attivato. Per applicare tutte le modifiche dovete riavviare il sistema .

Il comando getenforce può essere usato per apprendere lo stato di SELinux, se è in modalità pehanced Linux rmissiva o forzata:

Terminale
  • getenforce

La modalità permissiva può essere sostituita impostando il parametro 1 (permissiva è 0). Puoi anche controllare la modalità sul file di configurazione usando il comando less:

Terminale
  • less /etc/selinux/config

Risultato

Come puoi vedere, i file di configurazione mostrano la modalità permissiva. Premi Q per uscire.

Per vedere un file o elaborare un contesto di sicurezza puoi usare il flag -Z:

Terminale
  • ls -Z

Il formato dell’etichetta è user: role: type: level.

SEMANAGE Strumento di gestione delle politiche SELinux

semanage è lo strumento SELinux Policy Management. Permette di gestire booleani (che consentono di modificare il processo in fuga), ruoli e livelli utente, interfacce di rete, moduli di policy e altro. Semanage consente di configurare i criteri SELinux senza la necessità di compilare i sorgenti. Semanage consente il collegamento tra il sistema operativo e gli utenti SELinux e determinati contesti di sicurezza degli oggetti.

Per ulteriori informazioni sulla semanage visitare la pagina man all’indirizzo: semanage

Grazie! per l’utilizzo della Guida di Linuxiano.

Trovi questo tutorial utile? Condividi con i tuoi amici per tenerlo in vita.
Sii il primo a commentare, apprezzo i tuoi suggerimenti. Per ulteriori domande potete commentare qui sotto.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.